Quantcast
Channel: Google Developers Japan
Viewing all articles
Browse latest Browse all 2207

安全でないフォームから Google Chrome ユーザーを守る

$
0
0
この記事は Chrome セキュリティ チーム、Shweta Panditrao による Chromium Blog の記事 "Protecting Google Chrome users from insecure forms" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。


M86 以降の Chrome では、保護されたページ(HTTPS)で入力されたフォームが安全でない形で送信される場合、ユーザーに警告を表示するようになります。このような「混在フォーム」(HTTPS サイト上にあって HTTPS を使わずに送信されるフォーム)は、ユーザーのセキュリティやプライバシーのリスクとなります。このようなフォームで送信される情報は盗聴できるため、フォームの機密データが悪意のあるユーザーによって読み取られたり改ざんされたりする可能性があります。

具体的には、Chrome に以下の変更が行われ、混在フォームの送信に関連するリスクがユーザーに通知されるようになります。

  • 混在フォームでは、自動入力が無効になります。
    注: Chrome のパスワード マネージャーは、ログインとパスワードのプロンプトが表示されている混在フォームでも動作を継続します。Chrome のパスワード マネージャーは、ユーザーが一意なパスワードを入力するのをサポートします。安全でない形で送信されるフォームでも、パスワードを使い回すより、一意なパスワードを使う方が安全です。 
  • ユーザーが混在フォームへの入力を始めると、テキストによる警告でフォームが安全でないことが通知されます。

  • ユーザーが混在フォームを送信しようとすると、潜在的なリスクを警告し、それでも送信するかどうかを確認する画面がページ全体に表示されます。



M86 以前では、混在フォームがあっても、アドレスバーの鍵アイコンが表示されなくなるだけでした。これはユーザーにとってわかりにくく、安全でないフォームでデータを送信するリスクが適切に伝わりませんでした。

デベロッパーの皆さんには、ユーザーを保護するため、サイトのフォームを HTTPS に完全に移行することをお勧めします。ご質問があれば、security-dev@chromium.org までメールをお送りください。


Reviewed by Eiji Kitamura - Developer Relations Team

Viewing all articles
Browse latest Browse all 2207

Trending Articles